Aktuální normy a publikace o bezpečnosti
Transkript
Aktuální normy a publikace o bezpečnosti
Normy a publikace Aktuální normy a publikace o bezpečnosti Doporučení pro řízení rizik Technická zpráva ISO/TR 31004:2013 Risk management – Guidance for the implementation of ISO 31000 obsahuje doporučení pro efektivní implementaci principů normy ISO 31000:2009 Risk management – Principles and guidelines (norma je zavedena v soustavě ČSN jako ČSN ISO 31000:2010 Management rizik – Principy a směrnice). Norma ISO 31000 poskytuje všeobecného průvodce řízením rizik, může být aplikována na velmi široký rozsah činností, rozhodování nebo postupů libovolného veřejného či soukromého podniku. Nabízí obecný návod pro zjištění souvislostí, identifikaci, analýzu, vyhodnocení, zvládání, sledování a hlášení rizik. Norma ISO 31000 nahradila původní australskou normu pro řízení rizik AS/NZS 4360. http://csrc.nist.gov/publications/ Bezpečnost v dodavatelských vztazích Soustava norem ISO/IEC 27036 – IT Security – Security technique – Information security for supplier relationships by měla organizacím pomoci s řízením bezpečnosti informací v dodavatelských vztazích. ISO/ IEC 27036-1:2014 – Overview and concepts představuje úvodní díl celé řady norem, který zavádí terminologii a celkový koncept bezpečnosti v dodávkách produktů a služeb. ISO/IEC 27036-3:2013 − Guidelines for ICT supply chain security cílí na bezpečnost dodávaných ICT produktů a služeb. Zbylé dva díly jsou v různých fázích přípravy. ISO/IEC 27036-2 – Requirements se bude detailně věnovat požadavkům přílohy A normy ISO/ IEC 27001, ISO/IEC 27036-4 – Guidelines for security of cloud services pak bezpečnosti cloudových služeb. http://www.iso.org/ Základy soukromí na internetu Novinka z nakladatelství Elsevier The Basics of Digital Privacy: Simple Tools to Protect Your Personal Information and Your Identity Online poskytuje základní principy a doporučení pro ochranu soukromí uživatelů na internetu. Mezi témata, kterým se věnuje, patří rizika spojená se sdílením a publikováním citlivých informací online, cookies a sledování aktivit uživatelů na internetu, ochrana osobních údajů a registrace webových služeb (uživatelská jména, hesla, dvoufaktorová autentizace apod.), jak se chovat na sociálních sítích, zabezpečení domácích počítačů a sítí, šifrování dat a komunikace, anonymní režim, blokování prvků třetích stran (např. trackery a sběrači dat) a další. http://www.elsevier.com/ Devět kroků k úspěchu Nine Steps to Success: An ISO 27001 Implementation Overview je průvodcem pro systematickou implementaci a úspěšnou certifikaci systému řízení bezpečnosti informací (ISMS). Toto nové, v pořadí již druhé vydání bylo upraveno s cílem reagovat na změny v aktuální verzi certifikační normy ISO/IEC 27001:2013. Kniha je napsána tak, aby pomohla zejména bezpečnostním a IT manažerům, kteří nemají s ISMS valné zkušenosti. Je rozdělena do deseti kapitol, kde prvních devět pokrývá kroky kritické pro úspěšnou implementaci ISMS (získání podpory managementu, stanovení rozsahu, plánování, hodnocení rizik, výběr opatření, dokumentaci atd.). Poslední desátá kapitola je věnována vlastnímu certifikačnímu auditu. http://www.amazon.co.uk/ Ing. Libor Široký, CISM, CRISC, AMBCI [email protected] 46 D S M 2 | 2 014 Anonymizace citlivých dokumentů V březnu letošního roku byla publikována další norma z rodiny ISO 27k ISO/IEC 27038:2014 − Information technology – Security techniques − Specification for digital redaction. Norma obsahuje doporučení a best practice pro úpravu citlivých dokumentů v digitální podobě před jejich zpřístupněním třetím stranám. Obsahuje všeobecné principy pro úpravu a anonymizaci dat (např. odstranění jmen osob a citlivých údajů). Popisuje celkový proces redigování elektronických dokumentů včetně nakládání s metadaty (vlastnosti dokumentu) a potřebu pořizování záznamů o provedených změnách pro jejich zpětné vysvětlení a odůvodnění. Doporučuje postupy pro finální otestování dostatečnosti provedených úprav. Norma ale např. neobsahuje redigování databází. http://www.iso.org/ ISMS ve forenzní laboratoři Kniha Digital Forensics Processing and Procedures: Meeting the Requirements of ISO 17020, ISO 17025, ISO 27001 and Best Practice Requirements vám pomůže s formulací politik a nastavením správných postupů pro efektivní fungování forenzní laboratoře, zajištěním souladu s legislativními a regulatorními požadavky a požadavky normy ISO 27001. Obsahuje doporučení a kroky nezbytné pro zavedení a certifikaci efektivního systému řízení bezpečnosti informací v prostředí forenzní laboratoře. Autoři do knihy přenesli své dlouholeté praktické zkušenosti s forenzním vyšetřováním a vedením forenzních laboratoří. Publikace je doslova nabitá detailními postupy, šablonami a schématy. I když je primárně určena pro forenzní laboratoře, bude skvělým zdrojem informací při zavádění ISMS v jakékoli firmě. http://www.elsevier.com/